zookeeper开启SASL,并且设置kafka如何连接

最新推荐文章于 2025-03-13 15:36:42 发布
最新推荐文章于 2025-03-13 15:36:42 发布
阅读量6.4k 收藏 14
点赞数 3
文章标签: kafka java-zookeeper zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chou_kawaii/article/details/126658751
版权
本文详细介绍了如何在单机和嵌入式环境中配置Zookeeper的SASL认证,包括修改配置文件、创建jaas文件、配置客户端环境变量以及重启服务。同时,讲解了如何设置Zookeeper的权限,包括节点ACL权限和sessionRequireClientSASLAuth环境变量。最后,提到了Kafka连接Zookeeper时的认证问题及其解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我的单机zookeeper安装目录:/usr/local/zookeeper

我的kafka安装目录:/usr/local/kafka

一、

配置zookeeper的配置文件

1、如果是嵌入式zookeeper(kafka自带的zookeeper)

修改/usr/local/kafka/config/zookeeper.properties文件,添加如下配置

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
requireClientAuthScheme=sasl
zookeeper.sasl.client=true

2、如果是非嵌入式zookeeper(单机安装的zookeeper服务)

修改/usr/local/zookeeper/conf/zoo.cfg文件,添加和上面一样的配置

authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider
jaasLoginRenew=3600000
requireClientAuthScheme=sasl
zookeeper.sasl.client=true

 二、创建jaas文件

在zookeeper的安装目录下的conf目录下创建zk_jaas.conf文件,并编辑内容

嵌入式zookeeper目录:/usr/local/kafka/config/zk_jaas.conf

单机zookeeper目录:/usr/local/zookeeper/conf/zk_jaas.conf

Server {
   org.apache.zookeeper.server.auth.DigestLoginModule required
   username="admin"
   password="admin"
   user_admin="admin";
};

Client {
       org.apache.zookeeper.server.auth.DigestLoginModule required
       username="admin"
       password="admin";
};

user_admin="admin"的含义是user_username="password",添加一个用户名为admin,密码为admin的认证用户,用户名和密码可以自己定义。

三、配置zookeeper客户端环境变量

因为如果要连接zookeeper的话是需要通过SASL认证的,所以需要配置环境变量,这里的环境变量主要是使用到了zk_jaas.conf文件中的Client配置,会在连接时使用用户名和密码。

1、嵌入式zookeeper:

修改/usr/local/kafka/bin/zookeeper-server-start.sh文件

添加配置后如下:

#...前面的内容省略
COMMAND=$1
case $COMMAND in
  -daemon)
     EXTRA_ARGS="-daemon "$EXTRA_ARGS
     shift
     ;;
 *)
     ;;
esac
export KAFKA_OPTS="-Djava.security.auth.login.config=/opt/shakespeare/soft/zookeeper/apache-zookeeper-3.8.0-bin/conf/zk_jaas.conf ${KAFKAOPTS}" #这一行是要添加的内容
exec $base_dir/kafka-run-class.sh $EXTRA_ARGS org.apache.zookeeper.server.quorum.QuorumPeerMain "$@"

2、单机版zookeeper:

在/user/local/zookeeper/conf目录下创建一个java.env的文件,并且编辑添加如下内容

java.env:

export JVMFLAGS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${JVMFLAGS}"

四、重启zookeeper服务

正常启动一般便无问题。

五、通过客户端连接文件连接zookeeper服务

1、嵌入式zookeeper:

/usr/local/kafka/bin/zookeeper-shell.sh {hostname}:{port}

例如:./zookeeper-shell.sh 192.168.2.2:2181

2、单机版zookeeper

/usr/local/zookeeper/bin/zkCli.sh -server {hostname}:{port}

例如:./zkCli.sh -server 192.168.2.2:2181

一般连接成功会有如下日志显示:

Welcome to ZooKeeper!
2022-09-02 11:42:06,369 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.Login@317] - Client successfully logged in.
JLine support is enabled
2022-09-02 11:42:06,375 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.u.SecurityUtils@70] - Client will use DIGEST-MD5 as SASL mechanism.
2022-09-02 11:42:06,543 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.ClientCnxn$SendThread@1171] - Opening socket connection to server 192.168.2.2:2181.
2022-09-02 11:42:06,543 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.ClientCnxn$SendThread@1173] - SASL config status: Will attempt to SASL-authenticate using Login Context section 'Client'
[zk: 192.168.2.2:2181(CONNECTING) 0] 2022-09-02 11:42:06,564 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.ClientCnxn$SendThread@1005] - Socket connection established, initiating session, client: 192.168.2.2:56776, server: 192.168.2.2:2181
2022-09-02 11:42:06,585 [myid:192.168.2.2:2181] - INFO  [main-SendThread(192.168.2.2:2181):o.a.z.ClientCnxn$SendThread@1444] - Session establishment complete on server 192.168.2.2:2181, session id = 0x10003a960540000, negotiated timeout = 30000

WATCHER::

WatchedEvent state:SyncConnected type:None path:null

WATCHER::

WatchedEvent state:SaslAuthenticated type:None path:null

有较明显的Will attempt to SASL-authenticate using Login Context section 'Client'的提示

至此zookeeper的SASL配置完毕。

六、如何设置权限

zookeeper的sasl和普通的认证授权还不太一样

1、zookeeper默认允许匿名用户访问,如果不想让匿名用户访问某些则需要给节点单独设置ACL权限,配置完SASL后,连接zk客户端,然后可以给每个节点设置acl权限

setAcl /path sasl:admin:crdwa

2、zookeeper的3.6.0版本之后新增了一个环境变量sessionRequireClientSASLAuth

这个环境变量为true时要求客户端连接zk时必须进行SASL认证才可以连接成功,也就是说没有进行SASL认证的匿名用户就无法连接了,比第一步给每个节点设置ACL更方便一些,相当于在连接时设置了一个登录密码。

可以在单机版的zoo.cfg或嵌入式的zookeeper.properties里添加如下配置:

sessionRequireClientSASLAuth=true

7、kafka如何连接

配置完以上的认证后,启动kafka可能会报错。

原因:因为kafka依赖于zookeeper,要进行节点的访问,但是配置完后kafka也失去了权限,因此无法正常启动。

解决方法:在kafka安装目录下:/usr/local/kafka/bin/kafka-run-class.class目录下添加环境变量,如下:

#...前面的内容省略
base_dir=$(dirname $0)/..
KAFKA_OPTS="-Djava.security.auth.login.config=/usr/local/zookeeper/conf/zk_jaas.conf ${KAFKA_OPTS}" #要添加的行

if [ -z "$SCALA_VERSION" ]; then
  SCALA_VERSION=2.12.10
fi

然后重启kafka即可解决,原理和zk客户端连接原理一样,需要配置连接时的Client的用户名和密码,用户名和密码都在zk_jaas.conf文件里。

阿巴崽
关注
zookeeper开启SASL权限认证
cj_eryue的博客
07-25 4922
ZooKeeper 不使用任何形式的身份验证并允许匿名连接。但是,它支持 Java 身份验证与授权服务(JAAS),可用于使用简单身份验证和安全层(SASL)设置身份验证
Apache zookeeper kafka 开启SASL安全认证
2401_87298714的博客
09-21 1459
使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。Client配置了broker到Zookeeper连接用户名密码,这里要和前面zookeeper配置中的zk_jaas.conf.conf 中 user_kafka 的账号和密码相同。
Apache zookeeper kafka 开启SASL安全认证 —— 筑梦之路
筑梦之路
08-23 5126
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
搭建zookeeper集群和kafka集群,SCRAM认证
最新发布
u013256012的博客
03-13 518
搭建zookeeperkafka集群,kafka使用SCRAM认证
Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_86951311的博客
09-11 1630
Kafka是一个高吞吐量、分布式的发布-订阅消息系统。Kafka核心模块使用Scala语言开发,支持多语言(如Java、Python、Go等)客户端,它可以水平扩展和具有高吞吐量特性而被广泛使用,并与多类开源分布式处理系统进行集成使用。Kafka作为一款开源的、轻量级的、分布式、可分区和具备复制备份的、基于ZooKeeper协调管理的分布式流平台的功能强大的消息系统。与传统消息系统相比,Kafka能够更好的处理活跃的流数据,让数据在各个子系统中高性能、低延迟地不停流转。
[zookeeper] SASL(Simple Authentication and Security Layer) 用户名密码认证配置
FaceFullofConfused的博客
07-12 6590
使用zookeeper zkCli.sh 连接 zookeeper服务时,默认裸连,晓得ip与端口之后即可连接zookeeper服务,本文使用SASL 用户名密码配置服务端与客户端,在zkCli连接前,服务端配置xxxjaas.conf保存用户名密码,客户端(也就是zkCli或者各种语言的sdk)连接时同样也需要xxxjaas.conf文件来进行认证。
使用kafka tools工具连接带有用户名密码的kafka
norma_chai的博客
10-27 2335
2、在Security选择Type类型为SASL Plaintext。3、在Advanced页面添加如下图红框框住的内容。1、创建kafka连接,配置zookeeper。4、在JAAS_Config加上如下配置。
2024年最新Apache zookeeper kafka 开启SASL安全认证_kafka开启认证
2401_84302369的博客
05-01 1809
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。使用kafka-console-producer.sh脚本测试生产者,由于开启安全认证和授权,此时使用console-producer脚本来尝试发送消息,那么消息会发送失败,原因是没有指定合法的认证用户,因此客户端需要做相应的配置,需要创建一个名为producer.conf的配置文件给producer程序使用。
kafka3.8+zookeeper3.9集群自动化部署、sasl+acl配置、kafka connect配置部署
pamela394829274的博客
11-13 1301
kafka,sasl,acl,kafka connect
zookeeper 和hbase怎么连接
weixin_40263373的博客
08-12 100
Zookeeper 与 HBase 的连接与应用 在现代大数据处理领域,Zookeeper 和 HBase 是两个不可或缺的工具。Zookeeper 提供了分布式系统中的协调服务,而 HBase 是一个开源的分布式数据库,用于处理大数据集。在实际应用中,我们经常需要将 HBase 与 Zookeeper 连接,以实现高效的...
记一次docker安装kafkazookeeper拒绝连接的问题
qq_39558519的博客
06-20 4808
kafka的启动参数KAFKA_ZOOKEEPER_CONNECT不能是localhost:2181,因为不是在一个容器中,localhost改为ip地址就可以了。确保 ZooKeeper 容器中的 /conf 目录中存在 log4j.properties 配置文件。nc 命令连接到 localhost:2181,确保ZooKeeper 服务器正在监听该地址,并且可以通过网络进行访问。如果 log4j.properties 文件不存在,可以在宿主机上创建一个,并将其复制到容器中。
kafka集群搭建、SASL配置
qq_34324703的博客
08-25 2329
9 在/tmp/zookeeper/下 新建 myid文件,内容填写节点数字 0 其他节点分别填写 1 和2。10 在kafka/conf/下新增 kafka_server_jaas.conf。8 新建/tmp/kafka-logs目录 和 /tmp/zookeeper目录。11 配置 consumer.properties。12 配置 producer.properties。1 安装kafka需要安装JDK。7 配置zookeeper。18 kafka命令汇总。17 修改bin下命令。
Kafka3.3单机模式-Windows-SASL/PLAIN身份验证-使用自带zookeeper
weixin_68970731的博客
11-04 2313
kafka3.x版本单机模式下的sasl/plain权限设置,包含zk的权限设置、topic的权限设置、group的权限设置
Kafka 安全认证及权限控制
热门推荐
小王是个弟弟
07-20 1万+
作者:wjun 平台:MacOS 版本:Kafka 2.4.1 、Zookeeper 3.6.2 一、Zookeeper 配置 SASL 若只关注 kafka 的安全认证,不需要配置 ZookeeperSASL,但 kafka 会在 zk 中存储一些必要的信息,因此 zk 的安全认证也会影响到 kafka ???????????? 1.1 新建 zoo_jaas.conf 文件 zoo_jaas.conf文件名、文件所在路径没有特殊要求,一般放置在${ZOOKEEPER_HOME}/conf目录下
kafka 启动_使用用户密码连接kafka
weixin_39670246的博客
12-01 2415
使用kafka用户密码配置访问权限01—配置jaas 文件配置server jaas 文件[root@web148 kafka]# cat config/kafka_server_jaas.conf KafkaServer { org.apache.kafka.common.security.plain.PlainLoginModule required username="yd...
Kafka SASL认证与ACL配置
u010100623的博客
04-30 2347
SASL/PLAIN,这种方式其实就是一个的认证方式,不过它有很多缺陷,比如用户名密码是存储在文件中,等等!建议大家用SASL/SCRAM的方式 ,这种方式 用户名/密码是存储在zookeeper中,能够。该种认证方式还会使用sha256或sha512对,安全性相对会高一些。本文主要介绍SASL/PLAIN。
Kafka Manager如何配置SASL连接kafka
01-04
### 如何配置Kafka Manager使用SASLKafka建立连接 #### 修改环境变量以支持SASL认证 为了使Kafka Manager能够通过SASL协议访问受保护的Kafka集群,在启动脚本中需增加`export KAFKA_OPTS`语句来指定JAAS配置文件的位置。对于生产者客户端而言,此操作可以通过编辑位于`$KAFKA_HOME/bin/`路径下的`kafka-console-producer.sh`文件实现[^2];而对于通用设置,则可以直接在相关服务启动前定义该环境变量[^4]。 ```bash export KAFKA_OPTS="-Djava.security.auth.login.config=/path/to/kafka_client_jaas.conf" ``` 这里需要注意的是,应将`/path/to/kafka_client_jaas.conf`替换为实际存在的JAAS配置文件的具体位置。 #### 设置ZooKeeper主机列表 除了上述更改外,还需确保Kafka Manager知道如何找到对应的ZooKeeper实例以便管理Kafka集群。这一步骤涉及更新`application.conf`内的参数`kafka-manager.zkhosts`,其值应当指向运行中的Zookeeper服务器地址[^3]: ```properties kafka-manager.zkhosts="zk-host1:port,zk-host2:port,..." ``` 请根据实际情况调整具体的IP地址和端口号组合。 #### 配置JAAS登录模块 针对启用了SASL/PLAIN机制的情况,还需要进一步定制化JAAS配置文件的内容。具体来说,就是在其中加入如下所示的一段声明,用于指示Java应用程序采用何种方式完成身份验证过程[^5]: ```plaintext org.apache.kafka.common.security.plain.PlainLoginModule required \ username='your_username' \ password='your_password'; ``` 这里的用户名(`username`)以及密码(`password`)应该被替换成预先设定好的合法凭证信息。 #### 更新Kafka Manager应用配置 最后但同样重要的是,要让Kafka Manager识别并处理这些新的安全选项,可能需要对`application.conf`做额外的改动。特别是当涉及到特定版本或自定义部署场景时,查阅官方文档获取最准确的操作指南总是明智的选择。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值